SOC Report

Similar documents
SOC Report

SOC Report

SOC Report

SOC Report

SOC Report

SOC Report

SOC Report

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

1 Windows XP/Vista/7/8 ( 有線 LAN) Ⅰ LAN ケーブル接続 Ⅱ ブラウザ設定 Ⅲ ログオン 端末登録 の順に設定を行う <ⅠLAN ケーブル接続 > 1-1 LAN ケーブルを差しこむ学内アクセスポイントには LAN ケーブルの差込口が用意されています LAN ケーブ

SOC Report

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

PowerPoint プレゼンテーション

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

ブラウザ Internet Explorer 7 の設定について 第3版

ポップアップブロックの設定

Cuoreテンプレート

メールデータ移行手順

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

ダウンロードページアップデートマニュアル.ppt

SOC Report

Vista IE7 ブラウザの設定手順

目次 1 はじめに アンインストール前の注意点 Sophos アンインストール手順 アンインストーラの場所を確認する アンインストーラの実行 F-Secure Client Security for Mac インストー

Microsoft Word - MyWebMedical40_client_guideIE8.doc

第5回 マインクラフト・プログラミング入門

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

ピツニーボウズジャパン ソリューションのご紹介

証明書インポート用Webページ

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

電子入札システム利用時に必要な Internet Explorer のオプション設定手順 2011 年 3 月版 電子入札システムを利用する上で必要な Internet Explorer の設定について下記に示します ご利用の OS とブラウザのバージョンを確認し 設定を行ってください 1. Win

新OS使用時の留意事項


目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

2. システム構成 の運用環境によってインストールするソフトウェアが異なりますので 本項にあわせ次項の構成例もご確認いただき 必要なソフトウェアを選択してください 3 からの変更点は ESMPRO/AC による電源管理を行うために 4 以外に別途 ESMPRO/AC の制御端末となるサーバが必須にな

2. インストールの方法 インストールの手順は まずインストーラーをサイトからダウンロードし イールドブック カリキュレーターと Java Web Start をインストールします 次にイールドブック カリキュレーターを起動してサーバー接続し Java のファイルをダウンロードします 以下の手順に従

目次 1. はじめに WEB インタフェース... 4 アクセス方法... 4 操作方法 FTP クライアント FFFTP(WINDOWS) インストール方法 アクセス方法 操作方法 CYBERD

Microsoft Word - バーチャルクラス(Blackboard)ログイン方法ガイド.docx

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

Team Foundation Server 2018 を使用したバージョン管理 補足資料

SOC Report

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

ポップアップブロックの設定

1.indd

5.2

1. Android のホーム画面 06. クイックマニュアル [ 遠隔接続編 -Android 版 -] 2. ストアの起動画面 Android を起動しますと Play ストア ( 赤枠 ) というア イコンがありますのでこちらをタップしてください 機種により表示方法は異なります ストアの初期画

v6

058 LGWAN-No155.indd

TeleOffice 3.7

conf_example_260V2_inet_snat.pdf

MP:eMeeting インストールマニュアル Version /06/30 株式会社デジタル ウント メア

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

メール設定

変更点

PowerPoint Presentation

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

SELECT Server XM (ver

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

1

改版履歴 版 発行年月日 改版内容 作成者 /02/08 初版 NEC ビッグローブ /02/ クライアント AP のバージョンアップを追加 NEC ビッグローブ /07/ 接続設定にメッシュストレージ ST/HA の場合を追加

PowerPoint プレゼンテーション

クライアント PC の入替時の初期設定 及び画面が崩れたり 簡易入力 ⅡPro での障害時の設定 2/10 (3) 全般 のタブ 閲覧の履歴の 設定 ボタンをクリックしてください (4) 保存しているページの新しいバージョンがあるかどうかの確認 の内容確認 Web サイトを表示するたびに確認する に

2006

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

Microsoft Word - Gmail-mailsoft_ docx

事前準備マニュアル

needlework_update_manual_rev1.4

OpenRulesモジュール

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

2 0. 事前準備

PowerPoint Presentation

利用手順書

MC3000一般ユーザ利用手順書

SILAND.JP テンプレート集

INDEX 1. はじめに... 2.IE11 の設定 IE11 バージョンの確認方法 IE11 ポップアップの許可設定 IE11 HTML 明細書印刷の設定 IE11 互換表示設定... 3.Chrome の設定 Chrome

提案書

VPNマニュアル

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

2 1 事前準備する バージョンアップ操作を行う前に 次の準備を行います (1-1) ひかり電話対応 VoIP アダプタ (AD-200NE) にログインするための パスワード を用意します ひかり電話対応 VoIP アダプタ (AD-200NE) に初めてログインする場合 パスワード設定を行う必要

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

SOC Report

Microsoft Word - XOOPS インストールマニュアルv12.doc

証明書インポート用Webページ

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

INDEX 1. はじめに IE7/8 の設定 IE7/8 バージョン確認 IE7/8 ポップアップの許可設定 IE7/8 HTML 明細書印刷の設定 IE9/10/11 の設定 IE9/10/1

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

Vine Linux 3

アルファメールプレミア 移行設定の手引き Outlook2016

OpenRulesモジュール

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

2. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取得 更新するための API SAP リアルタイム連携 API を提供いたします またこれらの API を利用した業務テンプレートが同梱されています 各機能の詳細や設定方法に関しては 各マニュアルまたはセットア

Transcription:

Tor の安全な使用方法について (DNS Leakage の観点から) N T T コ ミ ュ ニ ケ ー シ ョ ン ズ株式会社 経営企画部 マネージドセキュリティサービス推進室 セ キ ュ リ テ ィ オ ペ レ ー シ ョ ン担当 2013 年 03 月 13 日 Ver. 1.0

1. 調査概要... 3 1.1. 調査概要... 3 2. 注意事項... 3 3. DNS LEAKAGE 以外の問題について... 3 4. WEB ブラウザの SOCKS 実装状況について... 4 4.1. TOR BROWSER BUNDLE 2.3.25-4 の場合... 4 5. SOCKS と TOR と名前解決... 6 5.1. TORを使った場合のDNSからのクライアントIPアドレスの漏洩... 6 5.2. TORとDNS LEAKAGE... 6 6. 安全な TOR の使用方法... 8 6.1. TOR BROWSER バンドル (TOR BROWSER) の使用... 8 7. 現時点では好ましくない TOR の使用方法... 11 7.1. POLIPO (SOCKSへ転送可能なHTTPプロキシ) の利用... 11 7.2. GOOGLE CHROMEの使用... 12 7.3. WEBブラウザのSOCKS 機能を使う... 12 8. その他 TOR の利用について... 12 8.1. TORノードとして起ち上げる際の注意点 (EXITリレー)... 12 8.2. その他 ( 日本語化 )... 14 9. 検証作業者... 16 10. 履歴... 16 11. 最新版の公開 URL... 16 12. 参考... 16 13. 本レポートに関する問合せ先... 17 2

1. 調査概要 1.1. 調査概要 Web ブラウザの SOCKS プロキシ機能の実装状況の調査によって Web ブラウザの SOCKS プロキシ機能には DNS Leakage の問題があることが確認された よって クライアントのプライバシーを保護する Tor を Web ブラウザ経由で利用する場合 普段使っている Web ブラウザを使わずに Tor Project から提供されているプライバシー保護のためにチューニングされている Tor Browser Bundle の Web ブラウザ (Tor Browser) を使用することを強く推奨する どうしても 普段使っている Web ブラウザを使う必要がある場合 ( そのような現実的な場面を想定できないが ) 以前に Tor にバンドルされている polipo( そのまた以前は privoxy だった ) などの SOCKS へ転送可能な HTTP プロキシを経由させることなども考えられるが 現在では推奨されない 参考 Web ブラウザの SOCKS 実装状況について http://www.ntt.com/icto/security/data/soc.html 2. 注意事項 Tor は元々 言論の自由のない弾圧された国家や社会などで暮らす人々へ匿名でも発言できるように また ( 国家権力の犯罪行為など ) 巨悪を告発する際の告発者のプライバシーを保護するために作られたもので 犯罪者が身元を隠すためのツールではない 当然だが 本文書の内容を悪用することは厳禁とする 本文書の内容が 言論の自由を奪われ弾圧されている人々の役に立てれば 個人的に幸いである 3. DNS Leakage 以外の問題について 本文書では DNS Leakage に注目しているが DNS Leakage 以外にも Web ブラウザ上のプラグインやスクリプトなどから漏洩する問題などもあるが それらは本文書の扱う範囲外とする 3

4. Web ブラウザの SOCKS 実装状況について 以下を参照のこと Web ブラウザの SOCKS 実装状況について http://www.ntt.com/icto/security/data/soc.html 既定の設定で利用する限り ほとんどの Web ブラウザには DNS Leakage の問題が残っているため プライバシー保護が必要な場面で 普段利用している Web ブラウザを使うのは危険が伴うといえる 4.1. Tor Browser Bundle 2.3.25-4 の場合 Tor Browser Bundle では Tor にプライバシー保護のためにチューニングされた Web ブラウザが同梱されている その Web ブラウザ (Firefox の英語版 ) を使用したところホスト名を IP アドレスへ変換するための名前解決を自ら行うようなことなかった 図 4.1-1 : パケットキャプチャを行ったが 特に DNS 関係のパケットはキャプチャされなかった 4

図 4.1-2 : Tor Browser のプロキシの設定画面 通常の Tor とバッテングしないように!? ポート番号が 9150/tcp になっている 図 4.1-3 : Tor Browser の SOCKS プロキシの詳細設定画面 network.proxy.socks_remote_dns=true となっている 5

5. SOCKS と Tor と名前解決 5.1. Tor を使った場合の DNS からのクライアント IP アドレスの漏洩 Tor は クライアントの IP アドレスを隠蔽し プライバシーを保護するソフトウェア / ネットワーク / システムである Tor は SOCKS サーバとして稼動しているため SOCKS を入り口として Tor ネットワークを使って通信することができる もし クライアントが実装している SOCKS 自体が version4 の場合 通信を行うクライアント ソフトウェア自体が DNS 解決を行う必要があるため クライアントの IP アドレスが DNS サーバ側のログとして残る可能性がある (DNS Leakage) また Web ブラウザの SOCKS 実装の状況から ほとんどの Web ブラウザ ( の既定の設定 ) には DNS Leakage の問題が残っている たとえ SOCKSv4a や SOCKSv5 が実装されている場合でも Web ブラウザが自ら名前解決を行っている場合があるからである 5.2. Tor と DNS Leakage DNS サーバに対して クライアント IP アドレスが漏洩したとしても DNS の仕組み上 一般的には クライアントに一番近い DNS サーバに対しての漏洩となり サーバ側で管理している DNS サーバまで情報が漏洩するわけではない また DNS Leakage を使ってクライアントを特定するには DNS キャッシュの仕組みや ISP 側から提供されている DNS サーバや それによる再帰的問い合わせ さらにはインターネット上に点在する公開 DNS サーバなど DNS の仕組みを考慮すると かなりの困難が予想される 図 5.2-1 : Tor といろいろなツールとの関係クライアントが SOCKSv4 のみ対応の場合 DNS サーバにクライアント側 IP アドレスがログとして残る可能性がある実際には ほとんどの Web ブラウザが自ら名前解決を行ってしまい DNS Leakage の危険性がある 6

図 5.2-2 : DNS Leakage と思われる通信 (SOCKSv4 名前解決済み SOCKSv4a または 名前解決済み SOCKSv5) をクライアント側から行うと Tor 側に警告ログが表示される 7

6. 安全な Tor の使用方法 6.1. Tor Browser バンドル (Tor Browser) の使用 Tor Project が提供している Web ブラウザがバンドルされた Tor を使用することを強く推奨する Tor Browser には DNS Leakage 以外の問題についても対策されている 重ねて Tor Browser の使用を強く推奨する また 念のため MS-Windows の DNS Client サービスを停止しておいてもよいかもしれない 図 6.1-1 : TorProject から Tor Browser Bundle をダウンロードして 解凍するだけである 図 6.1-2 : TorProject から TorBrowser をダウンロードして 解凍するだけである 8

図 6.1-3 : 図 6.1-2 を解凍してできたフォルダ 起動するだけである ( 場合によってはこのフォルダを USB メモリに入れて持ち歩く事も可能だ ) (MS-Windows にはどの USB 機器を接続したかどうかの履歴が残ることに注意 ) 図 6.1-4 : 図 6.1-3 を起動すると Tor の設定ができる GUI が起動する 図 6.1-5 : 図 6.1-4 後 Tor ネットワークへの接続が完了すると チューニングされた Firefox が起動しはじめる 9

図 6.1-6 : 図 6.1-5 後 プライバシー保護にチューニングされた英語版の Firefox が起動する 10

7. 現時点では好ましくない Tor の使用方法 実際にプライバシー保護が必要とする場面では Tor Browser の使用が強く推奨される 以下の方法は 2013 年時点では 推奨されない方法である 7.1. polipo (SOCKS へ転送可能な HTTP プロキシ ) の利用 Tor Browser を利用できない場合 以前の Tor にバンドルされているローカル HTTP Proxy サーバの polipo の併用する方法もある ただし 最新バージョンでは Tor をクライアントとして利用する際の Tor Browser 以外のパッケージが提供されていないなど 現実的な方法ではない また 経由することになる SOCKS へ転送可能な HTTP プロキシサーバ (polipo については Web ブラウザの SOCKS 実装調査時に調査済 ) の DNS Leakage については 調査しておく必要があるだろう 図 7.1-1 : polipo は Tor が起動しているマシンの 8118/tcp に HTTP Proxy として待ち受けしている 参考 : Web ブラウザの SOCKS 実装状況について http://www.ntt.com/icto/security/data/soc.html 11

7.2. Google Chrome の使用 参考 URL にあげているが かつて Google Crome は大量の DNS リクエストを発生する場合があったようだ アドレス欄で Web ページを検索するはずが DNS へ検索クエリーを投げているかもしれない DNS Leakage の可能性がでてくるため Tor を使う上ではあまり好ましくないだろう 参考 : 極楽せきゅあ日記 [ その他 ] 自重しろ?> クロム http://d.hatena.ne.jp/sonodam/20081104/p1 7.3. Web ブラウザの SOCKS 機能を使う ほとんどの Web ブラウザ ( ) で SOCKS 機能には DNS Leakage の問題が残っている ( ) : Firefox の詳細設定を変更した状態と Safari では DNS Leakage は確認されなかったが 例外的であり 基本的に普段使用する Web ブラウザ +Tor という組み合わせでプライバシー保護はおすすめできない 参考 Web ブラウザの SOCKS 実装状況について http://www.ntt.com/icto/security/data/soc.html 8. その他 Tor の利用について 8.1. Tor ノードとして起ち上げる際の注意点 (Exit リレー ) 本章では Tor ノードを立ち上げる際の注意点を挙げる Tor ノードとして参加する場合 以下の形態がある Exit リレー : Tor ネットワークの最終経路となることもいとわないで参加する形態 Non-Exit リレー : 最終経路はごめんだが Tor ノードとして参加する形態 Bridge : Tor への入り口を監視されている利用者向けに提供される 隠された 入り口として参加する形態 上記の Tor ノードとして参加する種類の中でも Exit リレー については注意する必要がある Exit ノードは自ら (Tor ノードを立ち上げているコンピュータ ) の IP アドレスがサーバ側に通知される 弁護士や 人権擁護団体などとは異なり 法的保護がしっかりしていない利用者は Exit リレーとして参加しない方が無難だろう 12

図 8.1-1 : Tor ノードとして起動する場合 赤枠で囲まれている設定は危険である Exit node になる可能性があり それは Tor 利用者に成り代わって IP アドレス をサーバ側に通知することを意味している 図 8.1-2 : Tor ノードを Exit ノードとして起動する場合 最低限 Exit Policies については入念に検討したほうがよいだろう例えば Web だけ提供したいということであれば "Websites" & "Secure Websites (SSL)" だけチェックすればよい 13

8.2. その他 ( 日本語化 ) 以前は Tor をコントロールする Vidalia には 日本語 が設定可能であったが 翻訳者がいなくなったためなのか 最新バージョンでは設定することができない ボランティア可能な方は 日本語化に協力してみてはいかがだろうか 図 8.2-1 : 以前の Vidalia 0.2.12/Tor 0.2.1.30 では日本語の設定が可能であった 1 図 8.2-2 : 以前の Vidalia 0.2.12/Tor 0.2.1.30 では日本語の設定が可能であった 2 14

図 8.2-3 : 以前の Vidalia 0.2.12/Tor 0.2.1.30 では日本語の設定が可能であった 3 図 8.2-4 : 最新版の Tor では 日本語 がなくなっている 15

9. 検証作業者 NTT コミュニケーションズ株式会社経営企画部マネージドセキュリティサービス推進室セキュリティオペレーション担当佐名木智貴 10. 履歴 2013 年 03 月 13 日 : ver1.0 最初の公開 11. 最新版の公開 URL http://www.ntt.com/icto/security/data/soc.html 12. 参考 Web ブラウザの SOCKS 実装状況について http://www.ntt.com/icto/security/data/soc.html SOCKS http://ja.wikipedia.org/wiki/socks SOCKS: A protocol for TCP proxy across firewalls http://ftp.icm.edu.pl/packages/socks/socks4/socks4.protocol RFC1928 http://tools.ietf.org/html/rfc1928 RFC1929 http://tools.ietf.org/html/rfc1929 RFC1961 http://tools.ietf.org/html/rfc1961 Tor Project https://www.torproject.org/ 極楽せきゅあ日記 [ その他 ] 自重しろ?> クロム http://d.hatena.ne.jp/sonodam/20081104/p1 16

13. 本レポートに関する問合せ先 NTT コミュニケーションズ株式会社経営企画部マネージドセキュリティサービス推進室セキュリティオペレーション担当 e-mail: scan@ntt.com 以上 17

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック